Reglamento DORA: Ley de Resiliencia Operativa Digital

La Ley de Resiliencia Operativa Digital, más conocida por sus siglas DORA (Digital Operational Resilience Act), es uno de los avances normativos más significativos en la regulación financiera de la Unión Europea en la última década.

DORA tiene como objetivo garantizar que todas las instituciones financieras y sus proveedores de tecnología puedan hacer frente, resistir y recuperarse de amenazas cibernéticas y fallos tecnológicos. Su importancia radica en su enfoque integral para gestionar y mitigar los riesgos operativos en un contexto cada vez más digital.

DORA: la Ley de Resiliencia Operativa Digital en el contexto actual

A medida que las instituciones financieras dependen cada vez más de infraestructuras tecnológicas avanzadas y servicios en la nube, los riesgos asociados, como fallos técnicos y ciberataques aumentan considerablemente. Estos ataques, que han ido en aumento en los últimos años, pueden tener efectos devastadores no solo para una empresa individual, sino para todo el sistema financiero. Los cibercrímenes, incluidos los ataques de denegación de servicio (DDoS) y los ransomware, que paralizan sistemas y secuestran datos, se han convertido en una de las mayores amenazas para este sector, obligando a las empresas a pagar rescates para retomar sus operaciones.

Ante este panorama, las instituciones financieras necesitan contar con sistemas de defensa robustos que no solo prevengan ataques, sino que también garanticen una rápida recuperación ante interrupciones. DORA surge como una respuesta clave a este creciente riesgo, proporcionando un marco integral para fortalecer la resiliencia operativa digital en toda la UE, permitiendo gestionar de manera efectiva los riesgos tecnológicos y de ciberseguridad.

¿Qué es DORA? Explicación detallada

DORA (Digital Operational Resilience Act) es una regulación que forma parte del paquete de medidas adoptadas por la Comisión Europea en su estrategia de Finanzas Digitales. Fue adoptada con el objetivo de fortalecer la resiliencia operativa digital de todas las entidades financieras que operan dentro de la Unión Europea. Esto incluye no solo al sector bancario y asegurador, también a otras entidades clave del sistema financiero, como proveedores de servicios de pago y de tecnología y fintechs.

A través de DORA, la Unión Europea busca garantizar que estas instituciones puedan manejar cualquier tipo de interrupción operativa, ya sea causada por un ciberataque, un fallo técnico o cualquier otro incidente relacionado con la tecnología. Además, DORA pone especial énfasis en la supervisión de terceros proveedores de tecnología, asegurándose de que las instituciones financieras no dependan de servicios que puedan comprometer su seguridad operativa.

Los pilares fundamentales de DORA

El Reglamento DORA se basa en varios pilares clave que las instituciones financieras deben cumplir para garantizar su resiliencia operativa digital:

  1. Gestión integral de riesgos tecnológicos: todas las empresas financieras deben establecer marcos integrales de gestión de riesgos tecnológicos. Esto incluye la identificación de riesgos, la evaluación de su impacto potencial y la implementación de medidas para mitigarlos. Uno de los aspectos fundamentales de DORA es que estos marcos deben ser revisados y actualizados de forma continua, en respuesta a la evolución de las amenazas cibernéticas.
  2. Pruebas de resiliencia operativa digital: las instituciones deben llevar a cabo pruebas regulares que simulen ciberataques o interrupciones tecnológicas para evaluar la efectividad de sus sistemas de resiliencia. DORA impone la obligación de realizar estas pruebas avanzadas que incluyen no solo simulaciones internas, sino también auditorías externas que aseguren la imparcialidad de los resultados. También deben incluir escenarios de fallo de proveedores clave de tecnología, como los servicios en la nube.
  3. Notificación de incidentes: en caso de que ocurra un incidente de ciberseguridad, las empresas financieras deben notificarlo de inmediato a las autoridades competentes. Esto permite una rápida respuesta y minimiza el impacto general en el sistema financiero. La notificación temprana también facilita la colaboración entre instituciones para mitigar las amenazas antes de que se propaguen.
  4. Supervisión de proveedores externos críticos: DORA introduce requisitos estrictos para la gestión de los terceros proveedores de servicios tecnológicos, especialmente aquellos que proporcionan servicios críticos como la infraestructura en la nube. Las instituciones financieras deben asegurarse de que estos proveedores también cumplan con los estándares de seguridad y resiliencia, y deben mantener acuerdos de servicio que incluyan cláusulas específicas sobre ciberseguridad y recuperación operativa.

El poder de una correcta verificación de la identidad

 Más información

Impacto de DORA en el ecosistema financiero

La implementación de DORA tendrá un impacto significativo en el ecosistema financiero europeo, ya que ante su entrada en vigor, las instituciones financieras deberán ajustar sus infraestructuras tecnológicas, sus políticas de ciberseguridad y sus estrategias de gestión de riesgos. Este esfuerzo conllevará una inversión considerable en recursos tecnológicos y humanos, lo que puede representar un desafío, especialmente para las pequeñas y medianas empresas (PYMES).

No obstante, la inversión en resiliencia operativa digital es esencial para garantizar la continuidad de las operaciones financieras en un entorno digitalizado. La estabilidad del sistema financiero depende de la capacidad de sus actores para resistir y recuperarse rápidamente de cualquier interrupción, y DORA establece las bases para ello.

Retos en la implementación de DORA

Si bien DORA es una iniciativa necesaria, su implementación presenta diversos desafíos, especialmente para las PYMES que carecen de los recursos financieros y tecnológicos de las grandes instituciones.

  1. Coste de implementación: adoptar sistemas avanzados de gestión de riesgos y llevar a cabo pruebas regulares de resiliencia operativa implica una inversión considerable. Las empresas deberán asignar recursos para la adquisición de nuevas tecnologías, para contratación de personal especializado y para la implementación de nuevas políticas de seguridad. Las PYMES ya operan con márgenes ajustados, por lo que esto puede ser un obstáculo importante.
  2. Cumplimiento de proveedores de terceros: la supervisión de los proveedores de servicios tecnológicos será uno de los aspectos más complicados de DORA. Muchas empresas financieras dependen de proveedores externos para sus operaciones críticas, como los servicios en la nube. Asegurar que estos proveedores cumplan con los estándares de DORA requerirá una estrecha colaboración y transparencia, lo que podría ser difícil de lograr con algunos proveedores internacionales.
  3. Pruebas externas: una de las exigencias de DORA es la realización de pruebas periódicas de resiliencia que sean auditadas por terceros independientes. Esto puede ser un desafío logístico y financiero, especialmente para las instituciones más pequeñas que pueden no tener experiencia en la contratación de este tipo de servicios.
  4. Cambio de cultura organizativa: implementar DORA no solo implica cambios en las tecnologías y procedimientos, sino también en la cultura organizacional. Las organizaciones deberán fomentar una mayor conciencia sobre los riesgos cibernéticos entre todos sus empleados, desde el personal técnico hasta los ejecutivos de alto nivel. Esto requerirá capacitación constante y un enfoque colaborativo para garantizar que todos los miembros de la organización comprendan y asuman su responsabilidad en la protección operativa.

Beneficios de DORA para el sistema financiero

Aunque la implementación de DORA representa un desafío significativo para muchas empresas, sus beneficios para el sistema financiero europeo son claros y son a largo plazo:

●      Reducción de los riesgos cibernéticos: al imponer la adopción de medidas robustas de ciberseguridad y pruebas regulares de resiliencia, DORA ayudará a reducir significativamente los riesgos asociados con los ciberataques. Esto es crucial para mantener la confianza de los clientes y proteger la estabilidad del sistema financiero.

●      Mayor transparencia y supervisión: la implementación de DORA también proporcionará una mayor transparencia en la relación entre las instituciones financieras y sus proveedores tecnológicos. Las empresas deberán ser más transparentes sobre cómo gestionan los riesgos operativos y cómo se recuperan de incidentes, lo que fortalecerá la confianza entre los actores del sistema.

●      Protección del consumidor: uno de los objetivos fundamentales de DORA es proteger a los consumidores europeos de las consecuencias de interrupciones operativas graves, ya sean causadas por fallos tecnológicos o ciberataques. La implementación de estos nuevos estándares asegura que los datos personales y financieros de los clientes estén mejor protegidos.

Preparación para la entrada en vigor de DORA

DORA entrará en vigor en enero de 2025, lo que significa que las empresas tienen un período limitado para asegurarse de que cumplen con todos los requisitos establecidos por la normativa. Algunas medidas que las instituciones financieras pueden tomar para prepararse son:

  1. Revisión de los sistemas de gestión de riesgos: las empresas deben revisar y actualizar sus sistemas de gestión de riesgos tecnológicos para cumplir con los estándares de DORA, como la implementación de nuevas políticas y procedimientos para identificar y mitigar los riesgos operativos.
  2. Establecimiento de relaciones con proveedores: las instituciones deben asegurarse de que todos los proveedores externos que proporcionen servicios críticos también cumplan con los requisitos de DORA. Esto podría implicar la renegociación de contratos o la adopción de nuevas cláusulas sobre ciberseguridad y recuperación operativa. Las empresas deberán garantizar que sus proveedores implementen controles de seguridad adecuados y que estén preparados para realizar pruebas de resiliencia operativa cuando sea necesario. Es probable que algunos proveedores deban ajustar sus servicios para cumplir con los estándares más rigurosos de DORA, lo que puede implicar negociaciones adicionales.
  3. Capacitación y concienciación interna: las instituciones financieras deben invertir en la formación de su personal sobre los nuevos requisitos de DORA. No solo el personal de TI, que debe estar al tanto de los protocolos de ciberseguridad, sino también cualquier empleado que pueda tener acceso a datos sensibles o interactuar con sistemas críticos. La concienciación sobre los riesgos tecnológicos y las mejores prácticas de seguridad debe ser parte de la cultura organizativa de la empresa.
  4. Desarrollo de planes de continuidad y recuperación: un aspecto clave de DORA es la implementación de planes de continuidad del negocio y recuperación ante desastres. Estos planes deben estar diseñados para asegurar que la empresa pueda continuar operando, incluso en caso de una interrupción tecnológica significativa. Las instituciones financieras deben desarrollar, probar y actualizar estos planes regularmente para asegurarse de que sean efectivos en cualquier escenario de crisis.
  5. Inversión en infraestructura tecnológica: muchas compañías necesitarán invertir en nuevas tecnologías para cumplir con los requisitos de DORA. Esto puede incluir sistemas avanzados de detección de amenazas, plataformas de gestión de riesgos y soluciones de seguridad en la nube. Aunque esta inversión puede ser inicialmente costosa, los beneficios a largo plazo de contar con una infraestructura tecnológica robusta son innegables, ya que minimizarán el riesgo de interrupciones operativas en el futuro.

DORA entrará en vigor en enero de 2025, lo que significa que las empresas tienen un período muy limitado para asegurarse de que cumplen con todos los requisitos establecidos por la normativa.

Ejemplos prácticos de aplicación de DORA

Para ilustrar mejor cómo funciona DORA en la práctica, podemos considerar varios escenarios en los que su implementación es fundamental:

  1. Ataque de ransomware a una institución financiera: imaginemos que una entidad bancaria es víctima de un ataque de ransomware, con el que los ciberdelincuentes han bloqueado el acceso a todos sus sistemas y han cifrado datos sensibles, exigiendo un rescate para desbloquearlos. Bajo DORA, esta entidad debería tener un plan de respuesta ante incidentes que permita aislar rápidamente el ataque, notificar a las autoridades competentes, y restaurar sus sistemas utilizando copias de seguridad sin tener que pagar el rescate. Además, debería haber realizado pruebas previas de resiliencia para asegurarse de que su plan de recuperación funcione adecuadamente.
  2. Interrupción de un proveedor de servicios en la nube: muchas instituciones financieras dependen de servicios en la nube para almacenar datos y gestionar operaciones críticas. Si un proveedor de servicios en la nube sufre una interrupción, podría paralizar las operaciones de varias empresas. Según DORA, estas empresas deben tener un plan de contingencia que les permita cambiar a otro proveedor de servicios o restaurar sus operaciones utilizando infraestructura interna o sistemas de respaldo.
  3. Fallo técnico en una plataforma de pago: las plataformas de pago son especialmente vulnerables a interrupciones técnicas debido a la cantidad de transacciones que gestionan en tiempo real. Si una de estas plataformas sufre un fallo técnico, DORA exige que hayan realizado previamente pruebas periódicas de resiliencia que simulen escenarios de este tipo, para garantizar que el servicio pueda restaurarse rápidamente y con el menor impacto posible para los clientes.

Supervisión regulatoria y sanciones

Una parte fundamental de la implementación de DORA es la supervisión regulatoria por parte de las autoridades competentes de la Unión Europea. Las instituciones financieras que no cumplan con los requisitos establecidos por DORA estarán sujetas a sanciones que pueden incluir multas significativas, dependiendo de la gravedad de la infracción y el impacto que haya tenido en el sistema financiero.

La supervisión no solo se centrará en la revisión de los sistemas internos de las empresas, también abarcará las relaciones con proveedores críticos. Esto significa que las autoridades reguladoras estarán facultadas para auditar los acuerdos con terceros proveedores de tecnología y verificar que se cumplan los estándares de seguridad y resiliencia.

El establecimiento de un marco de supervisión claro asegura que todas las instituciones financieras, independientemente de su tamaño, estén operando bajo los mismos estándares y no haya vacíos en la seguridad del ecosistema financiero. Esto es crucial para garantizar la estabilidad del sistema en su conjunto.

Comparando DORA con otras normativas globales

Si bien DORA es pionera dentro de la Unión Europea, no es la única normativa de este tipo a nivel global. En otros mercados, como Estados Unidos y Asia, también se han implementado regulaciones similares para garantizar la resiliencia operativa de las instituciones financieras.

Por ejemplo, en Estados Unidos, la Ley de Modernización de la Seguridad Financiera (FSMA, por sus siglas en inglés) también pone un fuerte énfasis en la ciberseguridad y la continuidad operativa dentro del sector financiero. Sin embargo, DORA va un paso más allá al imponer pruebas de resiliencia operativa periódicas y al obligar a las empresas a supervisar activamente a sus proveedores de servicios tecnológicos.

En Asia, varios países como Japón y Singapur han implementado sus propios marcos de ciberseguridad para proteger su sistema financiero. Estos incluyen regulaciones que obligan a las instituciones a informar de incidentes de ciberseguridad y a implementar medidas de protección avanzadas. A pesar de estas similitudes, DORA sigue destacándose por su enfoque integral y su alcance, que abarca no solo a las grandes instituciones, sino también a los actores más pequeños del ecosistema financiero.

Preparándonos para el futuro digital con DORA

A medida que el panorama digital continúa evolucionando, es crucial que las instituciones financieras adopten medidas proactivas para protegerse contra los riesgos tecnológicos. DORA es una de las respuestas más completas y avanzadas a estos riesgos, ya que proporciona un marco regulatorio que cubre todos los aspectos de la resiliencia operativa digital, desde la gestión de riesgos hasta la supervisión de proveedores y la realización de pruebas periódicas.

La resiliencia operativa no es solo una cuestión de cumplir con la normativa: es una necesidad estratégica en un mundo cada vez más interconectado y digitalizado. Con DORA, la Unión Europea está liderando el camino hacia un futuro financiero más seguro, donde las empresas estarán mejor preparadas para resistir cualquier tipo de disrupción y donde la confianza en el sistema financiero será más sólida que nunca.

Aunque la implementación de DORA representa un desafío considerable para muchas empresas, especialmente para las PYMES, los beneficios de contar con un sistema financiero más seguro y resiliente son incuestionables. A medida que nos acercamos a la fecha de entrada en vigor de DORA en 2025, es vital que las instituciones financieras empiecen a tomar medidas para garantizar que cumplan con los requisitos establecidos.  

Más sobre regulación

Te lo explicamos